...
Ett Klartextmeddelande får ej innehålla Känsliga personuppgifter eller Personliga förhållanden. Verksamheten ska alltid göra en riskbedömning om vilken text som kan skickas.
7.1 Meddelande med känsliga uppgifter
Det förhållande att viss person är en patient, anses vara känsliga uppgifter.
Inom Hälso- och sjukvården får en vårdgivare efter att ha gjort en behovs- och riskanalys besluta om undantag från kraven i socialstyrelsens föreskrift HSLF-FS 2016:40 vid överföring av påminnelser och kallelser till vård och behandling som riktar sig till patienter eller av patienten angiven kontaktperson. Vid behovs- och riskanalys kan uppgift om verksamhet bedömas vara en uppgift som inte bör skickas via e-post eller sms - och inte heller till kontaktpersoner. Detta måste respektive verksamhet bedöma. Meddelande som innehåller känsliga personuppgifter får endast lämnas ut till en plats där åtkomsten till meddelandet ska ske genom stark autentisering, (ex 1177 Inkorg, Kivra, Min myndighetspost, Digimail etc) av den person som är mottagare av meddelandet. Verksamheten måste således vara ansluten till någon/några av de tjänster som erbjuder säker meddelandehantering. Verksamheten kan sen avisera (meddela) personen via någon av de kontaktuppgifter som hen har angivet att det finns ett meddelande i meddelandetjänsten. Dessa meddelanden (aviseringar) kan skickas som klartext till någon av de kontaktuppgifterna som personen har angivet. Exempelvis : ”Du har fått ett meddelande i din inkorg hos <meddelandetjänst> från <verksamhet>”
7.2 Meddelande med ej känsliga uppgifter
Vid användning av meddelande med ej känsliga personuppgifter ska verksamheten göra en behovs- och riskanalys för att ta ställning till vilka typer av ej känsliga personuppgifter som lämpar sig att hantera som meddelande i klartext till personen. Respektive verksamhetschef har således ansvaret att besluta om möjligheten att skicka meddelande i klartext via de aviseringsvägar som verksamheten avser att stödja.Det innebär att verksamheten behöver ha rutiner för att rimligt säkerställa att telefonnummer och e-postadress är korrekta och aktuella och att meddelandet ej avslöjar detaljer om en persons hälsotillstånd eller andra personliga förhållanden. Exempelvis: "Hej <namn>. Din bygglovsansökan i <kommun> kommun är nu hanterad. Beslutet finns i Dina Meddelanden på <kommunen> kommuns hemsida"
7.3 Meddelandehantering till kontaktpersoner
En person kan även ange en kontaktpersons kontaktuppgifter som aviseringsväg. till exempel en Vårdnadshavare eller en Närstående.Meddelande till en kontaktperson kan normalt i de flesta fallen bara bestå av ett Klartextmeddelande (se Termer och begrepp). Om verksamheten vill kunna skicka ett meddelande till en kontaktpersons Meddelandetjänst (1177 Vårdguiden, Kivra etc) så behöver verksamheten i så fall ha uppgifter om fullständiga personuppgifter (PNR) på kontaktpersonen och uppgifter om vilken Meddelandetjänst kontaktpersonen har valt för att kunna mottaga meddelande. Meddelande i klartext till kontaktpersoner får inte innehålla Känsliga personuppgifter.
7.3.1 Meddelande till barn/vårdnadshavare
Barn har rätt till integritet och sekretess, även i förhållande till sina vårdnadshavare när det kan antas att barnet kan lida betydande skada om uppgifter röjs för vårdnadshavaren. Det finns således fall då vårdnadshavare - oavsett barnets ålder - inte ska anges som kontaktperson. Det kan exempelvis gälla fall då barnet omhändertas med stöd av lag om vård av unga, LVU.I dessa fall kan vårdgivaren också blockera vårdnadshavarens direktåtkomst till Journal via nätet.Huvudregeln är dock att vårdnadshavare företräder sina barn enligt föräldrabalken. Det framgår av skatteverkets folkbokföringsuppgifter vem som är vårdnadshavare. Uppgift om vårdnadshavare är en "färskvara", dvs den ska kontrolleras löpande. Det är inte självklart att en förälder är vårdnadshavare. En förälder som inte är vårdnadshavare jämställs med tredje person, som inte företräder barnet enligt föräldrabalken. Upp till 13 års ålder kan således vårdnadshavaren anges som kontaktperson - men - i takt med stigande ålder och mognad ska barnets inställning väga allt tyngre. Vid femton års ålder anses ett barn normalt vara tillräckligt mogna för att själva bestämma i frågor som rör integritet och sekretess, men i vissa fall kan mognaden bedömas vara tillräcklig redan vid 13 års ålder. Verksamheten ska göra en mognadsbedömning och fråga om barnets inställning till angivande av kontaktperson. Barnet kan efter mognadsbedömning välja att ange en annan person, än vårdnadshavaren, som kontaktperson. Kunskapsstöd vid mognadsbedömning finns på socialstyrelsens webbsida. Vid utskick av Meddelande till en vårdnadshavare så ska aviseringsväg sökas hos vårdnadshavarens kontaktuppgifter, ej via barnets kontaktuppgifter/kontaktpersoner. Detta för att säkerställa barnets integritet, enligt ovan. Vem/vilka som är vårdnadshavare till barnet framgår av skatteverkets folkbokföringsuppgifter och erhålls från PU-tjänsten. Rutinen för utskick av Meddelande till barn under 13 år ska normalt således vara att via PU-tjänsten erhålla kontaktuppgifter till vårdnadshavaren, ej genom barnets eventuella kontaktuppgifter eller kontaktpersoner.Då barnet har fyllt 16år så är det rimligt att Meddelande kan skickas till barnet baserat på barnets kontaktuppgifter. Exempel på ett meddelande (avisering) till en vårdnadshavare: "Hej. Det barn som du är vårdnadshavare för har fått en kallelse till provtagning. Logga in på 1177 Vårdguiden och läs mer i ditt barns Inkorg"
Exempel på meddelande i klartext: "Hej! Här kommer en påminnelse för ett återbesök den <datum> <tid> för ditt barn som du är vårdnadshavare för."
7.3.2 Meddelande till God man/Förvaltare
God man för ensamkommande barn likställs med vårdnadshavare. I övriga fall är god man ett stöd för sin huvudman och ska utföra sitt uppdrag i samråd med sin huvudman. En förvaltare har en starkare ställning och beslutar utan samtycke av huvudmannen. Gode män och förvaltare kan ha begränsade uppdrag, gällande t ex bara ekonomisk förvaltning, eller att "sörja för personen". Omfattningen av deras uppdrag framgår av beslut om god man/förvaltare. Uttrycket "att sörja för person" innebär att personen har uppdraget att se till att huvudmannen får vård och omsorg. Vid angivande av gode män eller förvaltare som kontaktpersoner är det av vikt att utreda huvudmannens möjlighet att avge ett samtycke. Om personen kan samtycka, ska huvudmannens inställning till angivande av kontaktperson utredas. Det är viktigt att respektera människors rätt till integritet och sekretess och att individanpassa språket och informationen samt att använda tolk i förekommande fall.
7.3.3 Meddelande till övriga typer av kontaktpersoner
Oavsett om en kontaktperson är en Anhörig eller Närstående så har den normalt sett ingen automatisk juridisk rätt att företräda en person. Vuxna barn har heller ingen legal ställning i förhållande till sina föräldrar. Det har inte heller partners som är gifta eller sambo, i förhållande till sina partners. De kan vara att betrakta som närstående - förutsatt att patienten själv anser sig ha en nära relation med personerna ifråga. Att skicka ett Meddelande till en kontaktperson bör således ske med stor varsamhet och risken att kränka personens integritet bör prövas separat vid varje enskilt tillfälle.
7.4 SMS
Verksamheten ska fastställa rutiner för SMS-användning inom verksamheten. Inom hälso-och sjukvården får SMS endast användas för påminnelser och kallelser. Rutinerna ska säkerställa att personens integritet inte kränks och minimera riskerna för att meddelanden inte hamnar på avvägar.Genom att t.ex inom Hälso- och sjukvården inte i klartext nämna vilken typ av vårdbesök och hos vilken specifika vårdenhet som avses i en påminnelse eller kallelse, minskas risken för att integriteten kränks om meddelandet skulle läsas av fel mottagare.Ett meddelande av typen påminnelse från en vårdgivare kan lämpligen utformas enligt exempel:
...
Ett sms-meddelande bör avslutas med följande text: "Har du fått detta sms utan att ha varit i kontakt med oss, ring xxxxxxx", där xxxxxxx lämpligen går till en lämplig supportfunktion.
7.5 e-post
Verksamheten ska fastställa rutiner för e-post-användning inom verksamheten. Rutinerna ska säkerställa att personens integritet inte kränks och minimera riskerna för att meddelanden inte hamnar på avvägar.Samma regler gäller för e-post såsom för sms.
8 Hantering felaktiga kontaktuppgifter
Det finns en risk för att kontaktuppgifterna ej längre är aktuella eller har blivit felaktigt inmatade. Detta måste kunna hanteras av verksamheten. Följande principer gäller: